Certificaat van datavernietiging uitgelegd: wat staat erop en wanneer heeft u het nodig
Een certificaat van datavernietiging is uw bewijs dat datadragers onomkeerbaar zijn vernietigd. Het vermeldt de datum, het toegepaste DIN-niveau en de serienummers van elke vernietigde drager. Juist die serienummers maken het verschil met een papiercertificaat, want ze koppelen het bewijs aan uw specifieke harde schijven, usb-sticks of telefoons.
Een bestand verwijderen of een schijf wissen voelt definitief, maar zonder bewijs kunt u achteraf niet aantonen dat gegevens echt onleesbaar zijn gemaakt. Bij lease-retour, een IT-audit of een controle onder de AVG telt dat bewijs. In dit artikel leest u wat een certificaat van datavernietiging precies is, wat erop staat, hoe het verschilt van een papiercertificaat en wanneer u het nodig heeft.
Wat is een certificaat van datavernietiging?
Een certificaat van datavernietiging is een document dat vastlegt dat uw datadragers op een bepaald moment en op een bepaald niveau zijn vernietigd. Het is het sluitstuk van het vernietigingsproces, het bewijs dat de gegevens niet meer terug te halen zijn. Anders dan een interne notitie of een e-mailbevestiging is het een formeel document dat u kunt overleggen aan een auditor, een leasemaatschappij of de Autoriteit Persoonsgegevens. Het algemene certificaat van vernietiging staat los uitgelegd in certificaat van vernietiging uitgelegd.
Wat is datavernietiging eigenlijk?
Datavernietiging is het onomkeerbaar onleesbaar maken van gegevens op een drager. Dat kan door overschrijven, degaussen of fysieke vernietiging. Voor zekerheid bij gevoelige data is fysieke vernietiging de veiligste route, omdat de drager dan letterlijk kapot gaat en de gegevens niet meer te benaderen zijn. Het certificaat hoort bij die fysieke vernietiging, want pas dan kan een dienstverlener per serienummer vastleggen wat er is vernietigd. Een gewist apparaat dat nog heel is, levert dat bewijs niet op dezelfde manier.
Wat staat er op het certificaat?
Een goed certificaat van datavernietiging bevat in elk geval:
- De datum waarop de dragers zijn vernietigd.
- Het toegepaste DIN 66399-niveau, bijvoorbeeld E-niveau voor elektronische media.
- De serienummers van elke vernietigde drager, een voor een geregistreerd.
- Het type drager, zoals harde schijf, SSD, usb-stick of telefoon.
- Een uniek opdrachtnummer waarmee het certificaat te herleiden is.
- De naam van de uitvoerende partij.
De serienummerregistratie is het belangrijkste onderdeel. Zonder serienummers bewijst u dat er iets is vernietigd, maar niet welke dragers precies.
Het verschil met een papiercertificaat
Bij vertrouwelijk papier vermeldt het certificaat de datum, de hoeveelheid en het DIN-niveau, maar geen serienummers, want losse vellen hebben die niet. Bij datadragers is dat anders. Elke harde schijf of telefoon heeft een uniek serienummer dat op het certificaat hoort. Zo kunt u later precies aantonen dat juist die ene schijf uit dat ene apparaat is vernietigd. Voor een lease-retour of een asset-administratie is dat onmisbaar.
Wanneer heeft u het nodig?
Een certificaat van datavernietiging is in een aantal situaties belangrijk:
- Lease-retour van hardware. De leasemaatschappij wil bewijs dat de schijf uit het apparaat veilig is vernietigd voordat het terugkomt.
- Een IT-audit. Een auditor controleert of afgeschreven apparatuur aantoonbaar is vernietigd.
- ISO 27001. De norm vraagt om beheerste afvoer van media, met bewijs. Meer hierover staat in ISO 27001 en fysieke vernietiging.
- De AVG. Stonden er persoonsgegevens op de drager, dan is het certificaat uw bewijs dat u ze correct heeft laten vernietigen.
Voor wie is het bedoeld?
Een certificaat van datavernietiging is vooral relevant voor bedrijven, IT-afdelingen en organisaties die hardware afschrijven of leasen. Maar ook een particulier kan een oude laptop of telefoon vol persoonsgegevens veilig laten vernietigen. De aanpak is voor beide hetzelfde, ophalen, op serienummer registreren en vernietigen, met een certificaat als bewijs. Of het nu om een enkele schijf of een hele partij gaat, het bewijs is altijd herleidbaar tot de drager.
Welk DIN-niveau voor datadragers?
De norm DIN 66399 kent aparte categorieen voor verschillende media. Voor elektronische gegevensdragers gelden E-niveaus.
| Categorie | Voor | Voorbeeld |
|---|---|---|
| H | Harde schijven | HDD shredderen of degaussen |
| E | Elektronische media | SSD, usb-stick, geheugenkaart |
| O | Optische media | Cd, dvd, blu-ray |
Welk niveau u nodig heeft hangt af van het type drager en de gevoeligheid van de gegevens. Het certificaat vermeldt het toegepaste niveau, zodat u kunt aantonen dat het passend was.
NIST 800-88 of DIN 66399?
Naast DIN 66399 wordt internationaal vaak naar NIST 800-88 verwezen, een Amerikaanse richtlijn voor het wissen en vernietigen van media. Beide beschrijven hoe u gegevens betrouwbaar onbruikbaar maakt, met een vergelijkbaar uitgangspunt, namelijk dat fysieke vernietiging de hoogste zekerheid geeft. Voor uw certificaat maakt het weinig uit welke norm wordt genoemd, zolang het toegepaste niveau en de serienummers maar zijn vastgelegd. Het verschil tussen beide leest u in NIST 800-88 versus DIN 66399.
Wissen of vernietigen?
Een belangrijk onderscheid. Software-wissen overschrijft gegevens, maar is niet bij elke drager betrouwbaar. Op een SSD zorgen wear-leveling en reservecellen ervoor dat niet alle data wordt overschreven, zoals uitgelegd in SSD vernietigen, waarom wissen niet werkt. Voor zekerheid is fysieke vernietiging de veiligste route. Alleen daarbij krijgt u een certificaat met serienummers. Het verschil tussen wissen en vernietigen staat in harde schijf wissen versus vernietigen.
Certificaat of wisrapport?
Bij software-wissen krijgt u soms een wisrapport, een logbestand dat aangeeft dat een schijf is overschreven. Dat is iets anders dan een certificaat van vernietiging. Een wisrapport zegt dat er is gewist, een certificaat met serienummers bewijst dat de drager fysiek is vernietigd. Voor de meeste audits en lease-retouren is het certificaat de sterkere keuze, omdat de drager dan aantoonbaar niet meer bestaat in plaats van alleen overschreven.
Wat de AVG vraagt
De AVG vraagt in artikel 5 om opslagbeperking en in artikel 32 om passende maatregelen om persoonsgegevens te beschermen. Die plicht loopt door tot de gegevens onleesbaar zijn vernietigd, ook op datadragers. Een oude schijf met klantgegevens die in een la blijft liggen is een risico. Bij verlies is het een datalek. Het certificaat van datavernietiging is het bewijs dat u die plicht bent nagekomen.
Wat als het misgaat? Datalek door oude dragers
De meeste datalekken met hardware ontstaan niet door een hack, maar door slordige afvoer. Een doos met oude harde schijven die bij het grofvuil belandt, een usb-stick die uit een la verdwijnt, een afgedankte telefoon die wordt doorverkocht zonder dat de data echt weg is. In al die gevallen kan iemand bedrijfs- of klantgegevens terughalen. Een ernstig datalek meldt u binnen 72 uur bij de Autoriteit Persoonsgegevens. Fysieke vernietiging met certificaat haalt dat risico vooraf weg.
Welke datadragers laat u vernietigen?
- Harde schijven en SSD's uit laptops, desktops en servers.
- Usb-sticks en geheugenkaarten met bedrijfs- of klantgegevens.
- Smartphones en tablets aan het einde van de levensduur.
- Backup-tapes met oude back-ups.
- Multifunctionals en kopieerapparaten met een interne schijf, vaak bij lease-einde. Zie multifunctionals en kopieerapparaten bij lease-einde.
Wanneer is een drager toe aan vernietiging?
Een datadrager is rijp voor vernietiging zodra hij niet meer in gebruik is en de gegevens niet langer bewaard hoeven te worden. Denk aan een laptop die wordt vervangen, een server die end-of-life is, een telefoon die uit roulatie gaat of een usb-stick die u niet meer vertrouwt. Laat dragers niet eindeloos in een la liggen, want zolang de data erop staat blijft het een risico. Controleer eerst of er nog gegevens op moeten blijven. Geef de rest mee voor vernietiging.
Papier en datadragers in een keer afsluiten
Een opruiming stopt zelden bij papier of alleen bij digitale dragers. Vaak komt beide tegelijk vrij, bijvoorbeeld bij een verhuizing of een kantooropruiming. Het praktische voordeel van een ophaalservice is dat papier en datadragers in dezelfde ophaal mee kunnen, elk vernietigd op zijn eigen niveau. Het papier komt op het certificaat als hoeveelheid en niveau, de datadragers op serienummer. Zo sluit u de hele vertrouwelijke stroom in een keer af, met een sluitend bewijs voor beide.
Hoe krijgt u het certificaat?
- Aanvraag. U geeft door welke dragers u heeft. U krijgt een vaste prijs.
- Ophalen. Wij halen de dragers verzegeld op uw locatie op.
- Registreren. Elke drager wordt op serienummer geregistreerd.
- Vernietigen. De dragers worden op het juiste DIN-niveau vernietigd.
- Certificaat. U ontvangt het certificaat met de serienummers en het niveau.
Papier en datadragers kunnen in dezelfde ophaal mee, elk vernietigd op zijn eigen niveau. Meer over digitale vernietiging leest u in datavernietiging.
Verzegeld ophalen en transport
Net als bij papier draait datavernietiging om een gesloten keten. De dragers worden bij u op locatie opgehaald en verzegeld vervoerd, zodat niemand er onderweg bij kan. Tussen ophaal en vernietiging zit geen moment waarop een schijf zoekraakt of wordt ingezien. Die beveiligde keten is precies wat het certificaat aan het eind bevestigt. Bij gevoelige bedrijfsgegevens is dat belangrijker dan de snelheid, want een schijf die onderweg verdwijnt is alsnog een datalek.
Wat kost datavernietiging met certificaat?
Datadragers worden meestal per stuk afgerekend, omdat elke drager apart op serienummer wordt geregistreerd en vernietigd. De prijs hangt af van het type drager en het aantal. Het praktische voordeel is dat u papier en datadragers in dezelfde ophaal kunt meegeven, zodat u maar een keer voor het voorrijden betaalt. Binnen 20 km van Amsterdam rekenen wij geen voorrijkosten. U weet de prijs vooraf, inclusief het certificaat met serienummers.
Wat gebeurt er met de drager na vernietiging?
Na de vernietiging worden de resten van de dragers afgevoerd voor materiaalrecycling. Metalen en kunststoffen worden gescheiden en hergebruikt, terwijl de gegevens definitief verloren zijn. Zo combineert u veilige datavernietiging met een nette verwerking van elektronisch afval. U hoeft zich geen zorgen te maken over wat er na de vernietiging gebeurt, want de data is dan al onherstelbaar weg en alleen het materiaal blijft over.
Hoe lang bewaart u het certificaat?
Bewaar het certificaat minimaal 5 jaar in uw AVG-dossier of asset-administratie. Bij een audit, een controle of een vraag van een klant kunt u er dan direct mee aantonen dat de drager is vernietigd. Archiveer het bij voorkeur digitaal, zodat u het snel terugvindt. Een certificaat dat u niet kunt vinden is in de praktijk net zo waardeloos als geen certificaat.
Een certificaat dat standhoudt bij een audit
Niet elk certificaat is even sterk. Een document zonder serienummers, zonder datum of zonder het toegepaste niveau zegt weinig. Let er daarom op dat het certificaat alle gegevens bevat die een auditor wil zien, namelijk per drager een serienummer, de datum en het DIN-niveau. Vraag dit na voordat u akkoord gaat. Een sluitend certificaat scheelt u bij een controle veel uitleg, omdat het in een oogopslag laat zien wat er is vernietigd.
Praktische tips
- Vraag altijd om serienummerregistratie, niet alleen om een algemeen certificaat.
- Combineer papier en datadragers in dezelfde ophaal.
- Bewaar het certificaat digitaal zodat u het bij een audit zo terugvindt.
- Laat schijven niet eerst maanden liggen, want een la vol dragers is een risico.
Veelgemaakte fouten
- Vertrouwen op alleen wissen. Zonder fysieke vernietiging en certificaat heeft u geen bewijs.
- Geen serienummers vragen. Een certificaat zonder serienummers koppelt het bewijs niet aan uw dragers.
- Oude schijven laten liggen. Een la vol afgeschreven dragers is een sluimerend datalek.
- Het certificaat kwijtraken. Zonder vindbaar bewijs staat u bij een audit met lege handen.
Een voorbeeld uit de praktijk
Stel, een bedrijf vervangt vijftien geleasete laptops. De leasemaatschappij wil de apparaten terug, maar de schijven bevatten jaren aan bedrijfsgegevens. Het bedrijf laat de schijven uit de laptops verwijderen en op H-niveau vernietigen. Elke schijf wordt op serienummer geregistreerd en het bedrijf ontvangt een certificaat met alle vijftien nummers. Bij de lease-retour kan het precies aantonen dat de gegevens op die specifieke schijven zijn vernietigd. Geen discussie, geen risico op een datalek.
Datadragers laten vernietigen met certificaat?
Geef door welke dragers u heeft en u krijgt een vaste prijs. Wij halen ze verzegeld op, vernietigen ze op het juiste DIN-niveau en u ontvangt een certificaat met serienummers. Geen voorrijkosten binnen 20 km van Amsterdam.
Vraag een offerte aanVeelgestelde vragen
Wat is een certificaat van datavernietiging?
Een document dat bewijst dat uw datadragers onomkeerbaar zijn vernietigd, met datum, het toegepaste DIN-niveau en de serienummers van de vernietigde dragers.
Wat is het verschil met een certificaat voor papier?
Bij datadragers staan de serienummers per stuk op het certificaat. Bij papier gaat het om datum, hoeveelheid en niveau, zonder serienummers.
Wanneer heb ik een certificaat van datavernietiging nodig?
Bij lease-retour van hardware, een IT-audit, ISO 27001 en als bewijs onder de AVG dat u persoonsgegevens op dragers correct heeft laten vernietigen.
Hoe lang bewaar ik het certificaat?
Bewaar het certificaat minimaal 5 jaar in uw AVG-dossier, zodat u bij een controle of audit kunt aantonen dat de dragers zijn vernietigd.
Krijg ik ook een certificaat bij alleen wissen?
Een wisrapport is mogelijk, maar een certificaat met serienummers hoort bij fysieke vernietiging. Voor zekerheid bij gevoelige data is fysieke vernietiging de veiligste route.
Conclusie
Een certificaat van datavernietiging is het bewijs dat uw datadragers aantoonbaar en onomkeerbaar zijn vernietigd, gekoppeld aan de serienummers. Dat maakt het onmisbaar bij lease-retour, een IT-audit, ISO 27001 en als bewijs onder de AVG. Laat dragers fysiek vernietigen op het juiste DIN-niveau, vraag om serienummerregistratie en bewaar het certificaat minimaal 5 jaar. Zo sluit u de digitale stroom net zo netjes af als de papieren.
Datadragers veilig laten vernietigen? Vraag een offerte aan via desnipperaar.nl of lees hoe datavernietiging werkt. U krijgt een certificaat met serienummers als bewijs.